Habilite el cifrado BitLocker y Windows desbloqueará automáticamente su unidad cada vez que inicie su computadora usando el TPM integrado en la mayoría de las computadoras modernas . Pero puede configurar cualquier unidad flash USB como una "clave de inicio" que debe estar presente en el arranque antes de que su computadora pueda descifrar su unidad e iniciar Windows.
Esto agrega efectivamente la autenticación de dos factores al cifrado de BitLocker. Siempre que inicie su computadora, deberá proporcionar la llave USB antes de que se descifre. Esto sería particularmente útil con una pequeña unidad USB que lleva consigo en un llavero.
RELACIONADO: Cómo configurar el cifrado de BitLocker en Windows
Paso uno: habilite BitLocker (si aún no lo ha hecho)
Esto, obviamente, requiere el cifrado de la unidad BitLocker, lo que significa que solo funciona en las ediciones Professional y Enterprise de Windows. Antes de que pueda seguir cualquiera de los pasos a continuación, deberá habilitar el cifrado BitLocker en la unidad del sistema desde el Panel de control.
Si te desvías de tu camino habilitar BitLocker en una PC sin un TPM , puede optar por crear una clave de inicio USB como parte del proceso de configuración. Esto se utilizará en lugar del TPM. Los siguientes pasos solo son necesarios cuando se habilita BitLocker en equipos con TPM, que la mayoría de las computadoras modernas tienen .
Si tiene una versión Home de Windows, no podrá usar BitLocker. Puede tener el Cifrado de dispositivo en su lugar, pero esto funciona de manera diferente a BitLocker y no le permite proporcionar una clave de inicio.
Paso dos: habilite la clave de inicio en el Editor de políticas de grupo
Una vez que haya habilitado BitLocker, deberá habilitar el requisito de clave de inicio en la política de grupo de Windows. Para abrir el Editor de políticas de grupo, presione Windows + R en su teclado, escriba "gpedit.msc" en el cuadro de diálogo Ejecutar y presione Entrar.
Dirígete a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Cifrado de unidad BitLocker> Unidades del sistema operativo en la ventana Política de grupo.
Haga doble clic en la opción "Requerir autenticación adicional al inicio" en el panel derecho.
Seleccione "Activado" en la parte superior de la ventana aquí. Luego, haga clic en la casilla debajo de "Configurar clave de inicio TPM" y seleccione la opción "Requerir clave de inicio con TPM". Haga clic en "Aceptar" para guardar sus cambios.
Paso tres: configure una clave de inicio para su unidad
Ahora puede usar el
administrar-bde
comando para configurar una unidad USB para su unidad cifrada con BitLocker.
Primero, inserte una unidad USB en su computadora. Tenga en cuenta la letra de la unidad USB – D: en la captura de pantalla siguiente. Windows guardará un pequeño archivo .bek en la unidad, y así es como se convertirá en su clave de inicio.
A continuación, inicie una ventana de símbolo del sistema como administrador. En Windows 10 u 8, haga clic con el botón derecho en el botón Inicio y seleccione "Símbolo del sistema (Administrador)". En Windows 7, busque el acceso directo "Símbolo del sistema" en el menú Inicio, haga clic con el botón derecho y seleccione "Ejecutar como administrador"
Ejecute el siguiente comando. El siguiente comando funciona en su unidad C :, por lo que si desea solicitar una clave de inicio para otra unidad, ingrese su letra de unidad en lugar de
c:
. También deberá ingresar la letra de la unidad USB conectada que desea usar como clave de inicio en lugar de
x:
.
administrar-bde -protectores -add c: -TPMAndStartupKey x:
La clave se guardará en la unidad USB como un archivo oculto con la extensión de archivo .bek. Puedes verlo si mostrar archivos ocultos .
Se le pedirá que inserte la unidad USB la próxima vez que inicie su computadora. Tenga cuidado con la clave: alguien que copie la clave de su unidad USB puede usar esa copia para desbloquear su unidad cifrada con BitLocker.
Para verificar si el protector TPMAndStartupKey se agregó correctamente, puede ejecutar el siguiente comando:
gestionar-bde -status
(El protector de clave "Contraseña numérica" que se muestra aquí es su clave de recuperación).
Cómo eliminar el requisito de clave de inicio
Si cambia de opinión y desea dejar de solicitar la clave de inicio más adelante, puede deshacer este cambio. Primero, regrese al editor de políticas de grupo y cambie la opción a "Permitir clave de inicio con TPM". No puede dejar la opción configurada como "Requerir clave de inicio con TPM" o Windows no le permitirá eliminar el requisito de clave de inicio de la unidad.
A continuación, abra una ventana del símbolo del sistema como administrador y ejecute el siguiente comando (nuevamente, reemplazando
c:
si está usando una unidad diferente):
administrar-bde -protectores -add c: -TPM
Esto reemplazará el requisito "TPMandStartupKey" con un requisito "TPM", eliminando el PIN. Su unidad BitLocker se desbloqueará automáticamente a través del TPM de su computadora cuando arranque.
Para verificar que esto se completó correctamente, ejecute el comando de estado nuevamente:
administrar-bde -status c:
Intente reiniciar su computadora primero. Si todo funciona correctamente y su computadora no requiere la unidad USB para arrancar, puede formatear la unidad o simplemente eliminar el archivo BEK. También puede dejarlo en su disco; ese archivo ya no hará nada.
Si pierde la clave de inicio o elimina el archivo .bek de la unidad, deberá proporcionar el código de recuperación de BitLocker para la unidad del sistema. Debería haber guardado en un lugar seguro cuando habilitó BitLocker para la unidad del sistema.
Credito de imagen: Tony Austin / Flickr
